用户界面允许用户看到系统100中所提供的应用和其他程序的图形用户界面并与之交互,该至少一个图形显示设备和多个用户界面包括程序和图形用户界面等的用户界面和图形表示,其中,上述程序与在系统设备之内受主管的应用交互,上述图形用户界面与系统100的多个服务和应用相关联。此外,虽然可按照由一个用户使用来描述系统设备,但是本公开构想了许多用户可使用一个计算机或一个用户可使用多个计算机。
[0022]虽然将图1描述为包含多个元件或与多个元件相关联,但是并非图1中的计算环境100内所示出的所有元件可用于本公开的每一个替代实现方案中。此外,结合图1中的多个示例所描述的一个或多个元件可位于计算环境100的外部,而在其他实例中,可将某些元件包括在一个或多个其他所描述的元件以及未在所示出的实现方案中描述的其他元件之中,或者某些元件可作为一个或多个其他所描述的元件以及未在所示出的实现方案中描述的其他元件的部分。另外,图1中所示出的某些元件可以与其他组件相组合,并且可用于除本文所描述的那些目的之外的替代目的或附加目的。
[0023]现在转向图2中的示例框图,示出示例系统,该示例系统包括能够在一个或多个网络(如,130)上通信或交互的示例移动用户设备205和DLP服务器210。在一个示例实现方案中,移动用户设备205可包括一个或多个处理器设备212和一个或多个存储器元件214,以及能够使用处理器212和存储器元件214来执行和支持的附加的组件、应用和子系统。例如,移动用户设备205可包括多个子系统218,例如,电池驱动器、网络访问、显示设备、数据端口、扬声器、通话、等等潜在的许多此类示例。移动用户设备205可进一步包括各种应用224(或“移动app”)以及其他基于软件和/或硬件的组件和功能。例如,在一个示例实现方案中,移动用户设备205可包括诸如与Linux内核对接的LSM之类的内核安全管理器216、结合安全管理器216进行操作的DLP代理222以及与该DLP代理222分开或集成的其他组件。在一些示例中,此类示例组件可包括加密管理器228、VPN管理器230、标记引擎220、等等此类示例。
[0024]在一些实现方案中,内核安全管理器216和DLP代理222可用于提供对DLP策略238的、基于内核的实施。可将各种数据234存储并保持在移动用户设备205上,并且可针对控制某些类型和某些内容的数据234的访问和分发来定义DLP策略238。在一些实现方案中,可通过使用例如VPN管理器230和加密引擎228的替代方式来实施DLP。例如,VPN管理器230能够试图将涉及移动用户设备205的通信重新路由至虚拟私有网络、私有网络、企业网或包括一个或多个DLP实施工具的部署的其他网络中。在其他实例中,加密管理器228可对数据234中的至少一些进行加密,并且创建和管理加密容器,从而安全地容纳数据234的多个部分并且防止数据丢失,等等此类示例。
[0025]此外,在一些实现方案中,可例如基于适用于各自数据(如,234)的一个或多个策略238的标识来标记数据234。特定的数据文件(如,234)上标签236的存在可使对数据实施策略238变得简单化。此外,可结合DLP策略的实施使用和考虑位置数据和位置情境。可例如通过移动用户设备205上可用的全球定位系统(GPS)来收集并提供支持此类实现方案的位置数据。实际上,一些应用224和子系统218能够利用GPS服务,并且将地理位置检测功能并入这些应用和子系统的行为和操作中。例如,在一些实现方案中,移动用户设备205上所提供的数码相机232可向用户提供对使用该数据相机232捕捉到的照片进行地理标记的选项,等等此类示例。其他地理位置检测功能可包括例如基于蜂窝小区的功能、基于网络的功能和其他检测功能。
[0026]示例DLP服务器210也可包括一个或多个处理器设备242、一个或多个存储器元件244以及一个或多个基于软件和/或硬件的组件和功能,例如,设备管理器246、用户管理器248、策略引擎250、威胁情报引擎252、DLP工具254以及在本示例中未明确示出的其他安全工具、组件和功能。例如,用户管理器246能够管理并自定义DLP服务器与一个或多个移动用户设备(如,205)之间的交互,以提供DLP服务并应用为如设备数据256中所描述的、每个单独的设备(如,205)的属性定制的DLP策略。此外,示例用户管理器248能够管理描述与各种移动用户设备(如,205)相关联的各种用户简档的用户数据260。示例用户管理器248能够利用用户数据262进一步地自定义和标识相关于或适合于给定的移动用户设备/用户的DLP服务和策略258。
[0027]在一些实现方案中,策略管理器250可管理由DLP服务器210保持的策略258。策略引擎250可创建、补充、修改和管理向客户机用户设备(如,205)供应策略258的操作。在一些实现方案中,可在生成策略258以及例如基于各自的设备属性、用户属性、企业策略、服务提供商策略以及与特定的移动用户设备有关的特性将策略258分配到各种移动用户设备205时,考虑并利用描述一个或多个网络和系统中检测到的各种威胁和其他安全相关的条件的威胁情报数据262。此外,在一些实现方案中,示例DLP服务器210可通过远离移动用户设备(如,205)所部署的各种DLP工具254来提供DLP服务,各种DLP工具254例如是在诸如可将移动用户设备话务重定向到其的VPN之类的网络中实现的DLP工具,等等此类示例。
[0028]DLP服务(无论是在各自的移动用户设备(如,205)处在本地提供的,还是通过远程系统(如,210)提供的)可用于控制和监测出入移动用户设备的以及在一些实例中进而还出入要应用各种DLP策略238、258的设备的网络的数据。例如,DLP服务可防止数据从一个应用移动到另一应用,防止数据从移动设备205移动到外部服务器145或外部个人计算设备240,防止数据在多个用户设备之间移动,等等。DLP服务可进一步防止数据从外部源移动到给定的移动用户设备205,等等此类示例。
[0029]转到图3中的示例,示出简化框图300,该简化框图300示出可结合一个或多个移动用户设备部署的DLP解决方案套件。可结合移动计算设备上检测到的DLP事件来利用该套件中的DLP解决方案中的一个或组合。在一个示例实现方案中,DLP解决方案可包括例如,利用可用于使被重定向的话务实施一个或多个DLP策略的、基于网络的DLP工具和服务,将移动设备话务重定向到一个或多个私有网络(例如,虚拟私有网络(如,305))。可附加地或替换地利用诸如应用专用加密容器(如,310)之类的加密容器和操作系统加密容器(如,315)以保护移动设备数据免受丢失或泄露。此外,可利用诸如基于LSM的DLP解决方案之类的深度分析技术(如,320),例如,通过与内核对接的、以及利用安装在设备上的DLP代理的多项服务的安全管理器。
[0030]在一个示例中,移动DLP解决方案可通过设备内安全(例如,通过LSM模块)、设备外安全和经由VPN和基于网络的DLP工具和过滤器(包括稳健的专注于企业的网络DLP工具等此类示例)对移动设备话务进行的投机路由来提供2级的安全。
[0031]转到图4,示出简化框图400,该简化框图400示出在一些实例中,可由移动设备利用的、基于网络的DLP解决方案的示例实现方案。此类基于网络的方式可允许利用现有的、基于网络的DLP基础结构。例如,通过将移动设备话务强加到VPN 405中,可将潜在敏感的话务和数据重新路由到稳健的DLP组件(如,410、415和420)能够检查内容并且基于该检查指示合适的动作的网络中。基于网络的DLP解决方案可包括:实施企业移动管理(EMM) 410的VPN技术;将话务重定向到安全的web网关415 ;例如在web网关、安全VPN会话处实现的、诸如实施一次性密码的VPN之类的数据丢失防护技术(如,420),等等此类示例。
[0032]转到图5A-5B中所示的示例,在一些实现方案中,可结合针对移动计算设备的DLP来利用多个加密容器。在图5A中的示例中,表示了加密应用的容器解决方案。此类容器(如,505、510和515)可包裹移动计算设备上的多个单独的应用,从而对于给定的应用,对特定的应用(如,520、525和530)所使用或生成的所有数据进行加密。在一些实例中,可针对特定的应用定制此类应用容器,而在其他实例中,可由任何种类的应用一般地使用基于操作系统的容器以对应用的I/O加密,该基于操作系统的容器被实现为供多个应用使用的一组可用的、经加密的文件系统(如,540、545和550)(如图5B中所示)。在一些实例中,用户可例如基于给定的应用利用或生成潜在敏感的数据的趋势来指定应当将哪些应用掩盖在容器中。移动设备管理系统(如,受移动设备管理(MDM)服务器535主管的移动设备管理系统)可进一步用于管理要用于移动计算设备的多个容器。通过使用应用容器,应用可具有专用的经加密的数据存储,并且可防止被包括在该存储中的数据被除对应于该经加密的数据存储的应用之外的其他应用访问、共享、操纵或控制。在一个示例中,安全容器应用可与企业移动性管理客户机对接。在一些实现方案中,第三方应用或未经明确授权与给定的应用一起操作的应用可能无法与对应的企业移动性管理客户机通信,或者无法访问应用的经加密的存储。在一个示例方式中,可为诸如企业数据之类的特定类型的应用数据预留应用容器,而诸如用户的个人文件之类的其余类型的数据保持不被加密。在另一示例方式中,可将该数据自身覆盖在容器中,以检查并控制由该应用访问的数据,等等此类示例。
[0033]图6A-6B示出基于安全模块的DLP解决方案的示例实现方式,诸如例如用于采用谷歌安卓?或另一平台的智能电话或平板上的、基于LSM的DLP解决方案。应当理解,可采用DLP解决方案的组合。在一些实例中,可基于要被管理的数据、通信或事务的类型或情境来利用DLP解决方案套件中的特定的一个。例如,在一个示例中,未能成功地将话务重定向到VPN上的网络DLP部署中可能导致调用一个或多个其他D